Mozillas neue Schriftart Zilla Slab ist ab sofort verfügbar und kann entweder heruntergeladen oder via Google Fonts genutzt werden.

Im Januar hat Mozilla seine neue visuelle Identität inklusive neuem Logo vorgestellt. Für das neue Mozilla-Logo wird die Schriftart Zilla Slab verwendet. Diese wurde von Mozilla in Auftrag gegeben und von Typotheque in den Niederlanden erstellt. Die Schriftart ist, wie man es von Mozilla nicht anders erwartet, Open Source und kann von jedem frei verwendet werden.

Die Schriftart kann über GitHub heruntergeladen werden. Zilla Slab wird in den Formaten OTF, TTF, WOFF sowie WOFF2 bereitgestellt. Alternativ kann die Schrift für die Verwendung auf Webseiten auch über Google Fonts eingebunden werden.

Verfügbar sind die folgenden Schriftstile: Light, Light Italic, Regular, Regular Italic, Medium, Medium Italic, Semi-Bold, Semi-Bold Italic, Bold sowie Bold Italic.

Zilla Slab ist nicht die erste frei verfügbare Schriftart von Mozilla. Seit nun etwas mehr als drei Jahren gibt es mit Fira Sans eine Schriftart, welche von Mozilla ursprünglich für Firefox OS in Auftrag gegeben worden war und von Carrois Apostrophe in Deutschland erstellt wird. Neben der regulären Fira Sans gibt es auch noch Fira Sans Condensed und Fira Sans Extra Condensed (jeweils 18 Schriftstile) sowie die Monospace-Variante Fira Mono (drei Schrifstile).

Der Beitrag Zilla Slab – neue Schriftart von Mozilla ab sofort verfügbar erschien zuerst auf soeren-hentzschel.at.

Normalerweise macht man sich als Linux Benutzer selten Gedanken um das Dateisystem
und auch Dinge wie Defragmentierung gehören nicht zu dem, was einen interessiert.
Aber das Prüfen des Dateisystems kann durchaus interessant sein.

Ich beschreibe hier kurz das ext4 Dateisystem da es unter Ubuntu seit 9.04 genutzt wird.

ext4 gehört zu den Journaling Dateisystemen, das bedeutet es wird ein Journal aller Aktivitäten
geführt und wenn zwischenzeitlich der PC oder Server abstürzt dann wird einfach das Journal
geprüft und die Aktionen darin abgeschlossen oder rückgängig gemacht.
Trotz des Journals wird in regelmäßigen Abständen, abhängig von der Anzahl der Mounts und Zeit zwischen den Reboots ein gründlicher Dateisystemcheck durchgeführt.

Aber es gibt durchaus 2 Situationen die eine genaue Betrachtung wert sind:

1. Der Rechner läuft als Server und ich möchte beim Neustart nicht, dass entweder Zeit oder Anzahl der Mounts überschritten wird und ein umfangreiches fsck läuft. Je nach Größe des Dateisystems kann es durchaus länger dauern bis das System zur Verfügung steht.

Die Anzahl der Mounts und die Zeit die zwischen einen fsck vergeht kann man ändern:
tune2fs -c0 -i0 /dev/sda1
Setzt die Zeit und die Mountzahl auf unendlich, kurz…. das Dateisystem wird nie geprüft.
Ich setzte diesen Wert auf allen Servern und Desktops so, damit ich den Zeitpunkt des fsck selbst bestimmen kann. (Siehe Punkt 2)
-i steht für die Zeit zwischen den fsck, zb. -i 28d für alle 28 Tage , -i 8w für alle 8 Wochen.
-c steht für die Mountzahl, z.b. -c10 für alle 10 mountvorgänge.

2. Ich möchte beim Neustart ein manuelles fsck erzwingen. Für normale Partitionen die nicht eingehängt sind reicht ein: fsck.extfs -f /dev/sda1 für eine Überprüfung.
Bei einer Root-Partition ist es nicht so leicht. Zwar kann ich sie als Single-User als Read-Only ein-mounten, aber das ist sehr unzuverlässig.

Einfacher geht es so: touch /forcefsck (als root)

Beim nächsten Neustart weden alle Dateisysteme in der fstab geprüft. Immer wenn ich mal Zeit und Lust habe, nutze ich diese Funktion um die Rechner zu prüfen. So kann ich genau steuern wann es durchläuft und mich eine längere Bootzeit nicht stört.

Passman ist einer Nextcloud Erweiterung, die direkt vom Nextcloud Team entwickelt wird. Ich möchte in diesem Artikel kurz auf den Entwicklungsstand und die Einrichtung von der App eingehen. Zur Frage, ob dass der Passwortmanager ist, werde ich mich nicht äußern, und jeder muss das einfach für sich selbst entscheiden.

Installation

Die Installation, erfolgt einfach über den “App Store” von Nextcloud.
Die App Store Seite, ist entsprechend hier zu finden.

Nutzung

Nachdem “starten” der App, kann man einen neuen Safe anlegen bzw. einen bestehenden öffnen.
Jetzt kann man den Safe mit Passwörter füllen, durch das klicken auf das klein Plus oben.

Bei der Erstellung der Passwörter, hat man mehrere Möglichkeiten die Felder mit Informationen zu füllen. Wichtig die Browser Apps funktionieren nur richtig, wenn man die URL für die Passwörter angibt.
Auch kann man schön Tags für die Passwörter verteilen, und so eine kleine Kategorisierung der Passwörter vornehmen.
Das generieren neuer Passwörter ist genauso möglicht, wie das angeben eines Ablaufdatums.
Zusätzlich können Dateien hinterlegt werden, wie z.B. die Rechnung für eine Lizen etc.
Eins meiner persönlichen Highlights, ist der integriert OTP Generator. So kann man sich jedes OTP Programm auf dem Handy oder den Yubikey sparen und kann alles in einem Programm hinterlegen.

Sicherheit

Die Passwörter werden in Safes gespeichert, man kann unendlich viele Safes anlegen, und diese Safes sind mit AES 256 Bit verschlüsselt.
Die Daten werden auf dem Server und auf dem Client verschlüsselt.
Zusätzlich ist es möglich über eine API, die aktuell echt dürftige dokumentiert ist, diese Daten abrufen.

Oder um es kurz mit den Worten der Entwickler zu beschreiben:

• A key is generated using passwordsalt and secret from config.php so back those up
  
• Then the key is stretched using Password-Based Key Derivation Function 2 (PBKDF2).
  
• Encrypt-then-MAC (EtM) is used for ensuring the authenticity of the encrypted data.
  
• Uses openssl with the aes-256-cbc ciper.
  
• Initialization vector (IV) is hidden
  
• Double Hash-based Message Authentication Code (HMAC) is applied for verification of the source data.
  
  
  

Browser

Es gibt aktuell Erweiterungen für den Firefox und den Chrome Browser.

Android

Auch eine Android App gibt es, diese befindet sich aktuell im Alpha Status, und außer Anzeigen der Passwörter, ist noch nicht mehr implimentiert.
Zu finden ist die App hier.

Fazit

Ich nutze jetzt bereits seit 3 Wochen Passman produktiv, und es hat bei mir KeePassX komplett ersetzt.
Ich bin sehr zufrieden, weil einer der Vorteil für mich auch ist, ich brauche nur einen Browser und nicht noch irgendwelche dritt Software auf irgendwelchen Rechner.
Keine Datenbanken die zusätzlich aktuell gehalten werden müssen nichts. Und wieder keine Daten die irgendwo ausgelagert sind, sondern alles bei mir aus meiner Hand.

Teil 5: Meine PIM Konfiguration (hier khard)

Im fünften Teil meiner persönlichen PIM Konfiguration geht es um das kleine Python Programm khard. Es ist nach dem Prinzip von KISS entwickelt und kommt auch wieder nur mit einer einzigen Konfigurationsdatei aus. khard übernimmt die Darstellung von Kontakten die in CardDav Daten enthalten sind, in einer aufgearbeiteten Darstellung im Terminal.

Installation

khard wird auch mit pip installiert. Falls pip noch nicht installiert ist, kann es wie folgt installiert werden:

apt install python3-pip

khard wird dann wie folgt installiert

pip3 install khard

Konfiguration

Als erstes erstellen wir den benötigten Ordner für unsere Konfiguration:

mkdir -p ~/.config/khard 

Im nächsten Schritt legen wir die Konfiguration an:

vim ~/.config/khard/khard.config

Die Datei bekommt folgenden Inhalt:

[addressbooks]
[[Book]]
path = ~/.contacts/

[general]
debug = no
default_action = list
editor = vim
merge_editor = vimdiff

[contact table]
display = last_name
group_by_addressbook = no
reverse = no
show_nicknames = no
show_uids = yes
sort = last_name

[vcard]
private_objects = Jabber, Skype, Twitter
preferred_version = 3.0
search_in_source_files = no
skip_unparsable = no

Erläuterung

[addressbooks]
[[Book]]
path = ~/.contacts/

Gibt an den Pfad in dem die vcf Dateien liegen.

[general]
debug = no
default_action = list
editor = vim
merge_editor = vimdiff

Gibt an mit welchem Editor die Kontakte bearbeitet werden sollen, welches Programm zum zusammenführen genutzt wird und was die Standardaktion beim Aufrufen vom Befehl khard ist.

[contact table]
display = last_name
group_by_addressbook = no
reverse = no
show_nicknames = no
show_uids = yes
sort = last_name

Weitere Einstellungsmöglichkeiten, zu denen ich glaube ich nicht viel sagen muss.

[vcard]
private_objects = Jabber, Skype, Twitter
preferred_version = 3.0
search_in_source_files = no
skip_unparsable = no

In diesem Teil werden wichtige Einstellungen zu den VCARDS festgelegt, die beim speichern erstellt werden. Version würde ich auf 3 lassen.

Nutzung

khard wird über den Befehl khard im Terminal aufgrufen, woraufhin die Kontakte in einer Liste ausgegeben werden. Mit khard –help kann man sich die verschiedenen Arten des Aufrufs anzeigen lassen:

usage: khard [-h] [-c CONFIG] [--debug] [--skip-unparsable] [-v]
             {list,ls,details,show,export,birthdays,bdays,email,phone,source,src,new,add,add-email,merge,modify,edit,ed,copy,cp,move,mv,remove,delete,del,rm,addressbooks,abooks}
             ...

positional arguments:
  {list,ls,details,show,export,birthdays,bdays,email,phone,source,src,new,add,add-email,merge,modify,edit,ed,copy,cp,move,mv,remove,delete,del,rm,addressbooks,abooks}
    list (ls)           list all (selected) contacts
    details (show)      display detailed information about one contact
    export              export a contact to the custom yaml format that is
                        also used for editing and creating contacts
    birthdays (bdays)   list birthdays (sorted by month and day)
    email               list email addresses
    phone               list phone numbers
    source (src)        edit the vcard file of a contact directly
    new (add)           create a new contact
    add-email           Extract email address from the "From:" field of an
                        email header and add to an existing contact or create
                        a new one
    merge               merge two contacts
    modify (edit, ed)   edit the data of a contact
    copy (cp)           copy a contact to a different addressbook
    move (mv)           move a contact to a different addressbook
    remove (delete, del, rm)
                        remove a contact
    addressbooks (abooks)
                        list addressbooks

optional arguments:
  -h, --help            show this help message and exit
  -c CONFIG, --config CONFIG
                        config file to use
  --debug               enable debug output
  --skip-unparsable     skip unparsable vcard files
  -v, --version         show program's version number and exit

Fazit

khard ist ein wunderbares kleines Programm um im Terminal Kontakte aufgearbeitet anzeigen zu lassen. Schnell sind neue Kontakte erstellt und bearbeitet. Die Synchronisation der Daten erfoglt durch vdirsyncer wie im zweiten Teil meiner PIM Reihe beschrieben wurde.

Seit Freitag, dem 30. Juni ist metalhead.club online - meine eigene Mastodon-Instanz speziell (aber nicht nur!) für Metal-Fans. Zuvor hatte ich meinen Mastodon-Account auf dem Server von Milan. Aus einem spontanen Impuls heraus habe ich mich entschieden, zur Dezentralisierung des Netzwerks beizutragen und ab sofort eine eigene Instanz zu betreiben.

Wie erwartet war der Mastodon-Server schnell aufgesetzt: Domain bestellt, Mastodon via Docker installiert und konfiguriert, TLS-Zertifikate via Let’s Encrypt installiert, und der Server war fertig. Eine offizielle Installationsanleitung dazu findet ihr in der Mastodon-Dokumentation auf GitHub.

Für das Docker-Setup habe ich mich entschieden, weil ich Mastodon zunächst auf einem Server laufen lassen will, den ich sowieso schon in Betrieb habe. Bevor überhaupt klar ist, ob meine Instanz von weiteren Usern genutzt wird, investiere ich nur ungern in einen weiteren VPS. Sollte die Instanz mit der Zeit größer und ressourcenhungriger werden, werde ich den Mastodon-Server auf einen dedizierten, virtuellen Server verlegen. Der große Hype ist allerdings vorüber, sodass ich nicht davon ausgehe, dass meine Instanz stark wächst.

Wer Interesse an Mastodon hat oder seinen Account auf meine Instanz verlegen will, kann sich gerne einen Account auf metalhead.club anlegen. Außer einer E-Mail-Adresse müssen keine weiteren, persönlichen Daten angegeben werden.

Mich findet ihr übrigens als thomas@metalhead.club auf Mastodon und GNUSocial.

Nach dem ich nun nieder geschrieben hatte, wie ich meine SQL-Datenbanken automatisch sichere, kamen einige gute Anregungen in den Kommentaren. Darauf hin habe ich das System etwas umgestellt. Dazu wurde zu allererst der Storage vom root auf einen User übertragen. Somit konnte ich auch den Cronjob für den User einrichten. Der Eintrag, wie im ersten Artikel „MySQL-Sicherung“ in /etc/crontab wurde wieder entfernt. und der Cron neu gestartet.

Als eingeloggter User habe ich dem selbigen mit

crontab -e

folgenden Befehl eingetragen.

0 2 * * * /home/user/MySQLscript.sh

Dann wurde eine ~/.my.cnf

nano ~/.my.cnf

mit entsprechendem Inhalt erstellt. Diese enthält das MySQL root Passwort.

[client]
user=root
password=meinpasswort

„meinpasswort“ musste hier natürlich angepasst werden. Nach dem Abspeichern wurden der Datei die Rechte 600 vergeben.

chmod 600 ~/.my.cnf

Im Anschluss habe ich ein neues Script mit dem Inhalt

#!/bin/sh
mysqldump in********** | gzip > /samba_share/backup/in**********/in**********-$(date +%Y-%m-%d).sql.gz
mysqldump cc********** | gzip > /samba_share/backup/cc**********/cc**********-$(date +%Y-%m-%d).sql.gz
mysqldump bc********** | gzip > /samba_share/backup/bc**********/bc**********-$(date +%Y-%m-%d).sql.gz
mysqldump kt********** | gzip > /samba_share/backup/kt**********/kt**********-$(date +%Y-%m-%d).sql.gz
mysqldump wo********** | gzip > /samba_share/backup/wo**********/wo**********-$(date +%Y-%m-%d).sql.gz
mysqldump ne********** | gzip > /samba_share/backup/ne**********/ne**********-$(date +%Y-%m-%d).sql.gz
mysqldump cy********** | gzip > /samba_share/backup/cy**********/cy**********-$(date +%Y-%m-%d).sql.gz
mysqldump pe********** | gzip > /samba_share/backup/pe**********/pe**********-$(date +%Y-%m-%d).sql.gz
mysqldump ma********** | gzip > /samba_share/backup/ma**********/ma**********-$(date +%Y-%m-%d).sql.gz
mysqldump pr********** | gzip > /samba_share/backup/pr**********/pr**********-$(date +%Y-%m-%d).sql.gz
mysqldump ro********** | gzip > /samba_share/backup/ro**********/ro**********-$(date +%Y-%m-%d).sql.gz
mysqldump bcc********* | gzip > /samba_share/backup/bcc*********/bcc*********-$(date +%Y-%m-%d).sql.gz
mysqldump pi********** | gzip > /samba_share/backup/pi**********/pi**********-$(date +%Y-%m-%d).sql.gz

erstellt und dieses mit

chmod +x ~/MySQLscript.sh

ausführbar gemacht. Um die Datenbanken besser auseinander halten zu können, bekamen alle Datenbanken dieses Mal ein separates Verzeichnis.

cd /samba_share/backup

mkdir in********** cc********** bc********** kt********** wo********** ne********** cy********** pe********** ma********** pr********** ro********** bcc********* pi**********

Nun werden die Datenbank-Sicherungen jeden Morgen 2:00 Uhr in von einander getrennten Verzeichnissen komprimiert abgelegt.

Der Servercow-Storage wurde mit der Nextcloud-App „External Storage“ in die Cloud eingebunden und die Sicherungen landen so regelmäßig auf meinem Notebook.

Mozilla hat ein außerplanmäßiges Update für Firefox 54 veröffentlicht. Firefox 54.0.1 behebt diverse Probleme der Versionsreihe 54.

Download Mozilla Firefox 54.0.1 für Microsoft Windows, Apple macOS und Linux

Mozilla hat ein erstes außerplanmäßiges Update für die Desktop-Version von Firefox 54 veröffentlicht. Mit Firefox 54.0.1 behebt Mozilla mehrere Anzeigeprobleme, die unter bestimmten Umständen in Zusammenhang mit den Tab-Beschriftungen auftreten konnten.

Wenn ein Download das Öffnen eines neuen Tabs auslöste, konnte es passieren, dass Firefox den falschen Tab automatisch geschlossen hat. Dieses Problem wurde in Firefox 54.0.1 genauso behoben wie ein Problem, welches unter Apple macOS verursachen konnte, dass PDF-Dateien nicht korrekt ausgedruckt werden konnten. Außerdem wurde ein Problem behoben, welches unter Linux die Wiedergabe von Netflix-Inhalten verhinderte.

Der Beitrag Mozilla veröffentlicht Firefox 54.0.1 erschien zuerst auf soeren-hentzschel.at.

Inspiriert durch den Artikel „Backup oder Datensicherung eines root-Servers / vServers / VPS„von Bitblokes habe ich mir Gedanken gemacht, wie ich meine MySQL-Datenbanken vernünftig und regelmäßig sichern kann. Die Snapshots von Servercow sind schon sehr gut, um ein Backup des ganzen Servers zu erstellen. Jedoch ist man hin und wieder auf eine einzelne Datenbank angewiesen.

Da ich bei Servercow einen zusätzlichen RAID5 HDD-Netzwerkspeicher von 150 GB und diesen in meine Nextcloud eingebunden habe, kann ich dort bequem meine Datenbanksicherungen ablegen. Bei jeder Synchronisation zu Hause, landen dann die Sicherungen auf meinem Notebook. 

Da ich bisher meine Datenbanken manuell mit mysqldump durchgeführt habe, wollte ich das Ganze nun automatisieren.

Dazu wurde das Script MySQLscript.sh

# nano /root/MySQLscript.sh

mit folgendem Inhalt erstellt.

#!/bin/sh
mysqldump -u root -pmeinpasswort in********** > /samba_share/backup/in**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort cc********** > /samba_share/backup/cc**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort bc********** > /samba_share/backup/bc**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort kt********** > /samba_share/backup/kt**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort wo********** > /samba_share/backup/wo**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort ne********** > /samba_share/backup/ne**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort cy********** > /samba_share/backup/cy**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort pe********** > /samba_share/backup/pe**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort ma********** > /samba_share/backup/ma**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort pr********** > /samba_share/backup/pr**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort ro********** > /samba_share/backup/ro**********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort bcc********* > /samba_share/backup/bcc*********-$(date +%Y-%m-%d).sql
mysqldump -u root -pmeinpasswort pi********** > /samba_share/backup/pi**********-$(date +%Y-%m-%d).sql

Dabei ist „in**********“ der Name meiner ersten Datenbank. Der Eintrag „meinpasswort“ im Script muss natürlich durch das MySQL root Passwort ersetzt werden. 

Im Anschluss wird das Script ausführbar gemacht

# chmod +x MySQLscript.sh

und der Befehl mit 

# nano /etc/crontab

in den crontab eingetragen.

0 2 * * *       root    /root/MySQLscript.sh

So wird nach dem Neustart von Cron jeden Tag um 2:00 Uhr eine Sicherung jeder einzelnen Datenbank im Verzeichnis /samba_share/backup abgelegt.

# /etc/init.d/cron restart

Ich nutze ja sehr gerne den Suspend bzw. Standby Modus meines gebrauchten (und daher vor allem akkutechnisch nicht mehr optimalen) ThinkPads. Suspend ist derjenige Modus, welcher das System schlafen legt, aber nicht komplett abschaltet. Für kurze Arbeitspausen ganz praktisch, aber wenn ich das Laptop so herumliegen lasse ist auch hier irgendwann der Akku leer, und meine geöffneten Programme wieder alle weg. Man könnte jetzt auch den Hibernation Modus bzw. Ruhezustand benutzen, aber das Problem hierbei ist, dass dieser langsamer ist. Schnell mal Laptop zuklappen, vom Tisch auf die Couch wechseln und wieder aufklappen ist trotz schneller SSD nicht möglich (vielleicht sollte ich auch einfach langsamer zur Couch gehen).

Als Zwischenlösung benutzt man mittlerweile den sogenannten Hybrid Sleep. Hierbei wird sowohl der Suspend als auch der Hibernation Modus aktiviert. Ist der Akku voll genug, wacht das Laptop aus dem Suspend Modus innehralb kürzester Zeit auf, lässt man es zu lange liegen und der Akku ist leer erwacht es aus dem Hibernation Modus. Bloß auch hier dauert das wechseln in den Hybrid Modus zu lange, ich klappe das Laptop oft schon wieder auf bevor es überhaupt angefangen hat sich schlafen zu legen.

Weiteres Problem: Suspend und Hibernation werden so gut wie immer unterstützt, wohingegen der Hybrid Sleep nicht immer verfügbar ist (beispielsweise bietet die von mir eingesetzte Desktopumgebung Hybrid Sleep gar nicht an).

Die Lösung des ganzen nennt sich nun Suspend to Hinbernate oder auch Delayed Hibernation. Hierbei wird immer zuerst in den Suspend Modus gewechselt (was schnell geht, und woraus es schnell aufwachen kann), und nach einer gewissen Zeit wechselt das Laptop dann automatisch in den Hibernation Modus, sodass es, wenn es längere Zeit herumliegt trotzdem nicht den Akku belastet. Für mich persönlich ist das der nächste logische Schritt nach dem Hybrid Sleep.

Wer Archlinux oder eine darauf basierende Distribution nutzt und weiß, dass sowohl Suspend als auch Hibernation auf dem gewünschten Gerät funktionieren kann nun mittels einem AUR-Paket diese Funktion ebenfalls ganz einfach erhalten. Der manuelle Weg ist hier beschrieben, wer's einfacher haben will muss nur das Paket suspend2hibernation installieren und den entsprechenden Service dazu aktivieren:

$ pacaur -S suspend2hibernation
# systemctl enable suspend2hibernation.service

Ein kurzer Tipp für zwischendurch: Wer Archlinux einsetzt wird merken, dass Pacmans Paketcache langsam aber stetig wächst und nur durch manuelles eingreifen aufgeräumt werden kann. Ich habe mir deshalb die Mühe gemacht und ein Paket im AUR veröffentlich, welches diese Aufgabe automatisch übernimmt. Es ist lediglich nötig das Paket zu installieren, der Rest läuft über die seit Pacman Version 5.0 verfügbaren Hooks ab.

Wer es ausprobieren möchte sollte das Paket pacman-cleanup-hook aus dem AUR installieren:

$ pacaur -S pacman-cleanup-hook

$ sudo pacman -Syu
[…]
:: Starte post-transaction hooks...
(2/6) Keep the last cache and the currently installed.
'/var/cache/pacman/pkg/keepassxc-2.1.4-1-x86_64.pkg.tar.xz' wurde entfernt
'/var/cache/pacman/pkg/device-mapper-2.02.170-1-x86_64.pkg.tar.xz' wurde entfernt
'/var/cache/pacman/pkg/mesa-17.1.2-1-x86_64.pkg.tar.xz' wurde entfernt
'/var/cache/pacman/pkg/lvm2-2.02.170-1-x86_64.pkg.tar.xz' wurde entfernt

==> finished: 4 packages removed (disk space saved: 15.95 MiB)
[…]
$

$ sudo pacman -Syu
[…]
:: Starte post-transaction hooks...
(1/2) Keep the last cache and the currently installed.
==> no candidate packages found for pruning
[…]
$

Dass Firefox mit Version 57 ein komplett neues Design bekommen wird, ist längst kein Geheimnis mehr. Nun ist auch das neue visuelle Erscheinungsbild der Firefox-Einstellungen bekannt.

Mozilla wird voraussichtlich im November dieses Jahres Firefox 57 veröffentlichen. Firefox 57 wird dabei kein gewöhnlicher Release sein, denn mit Firefox 57 wird Mozilla einige sehr bedeutende Änderungen einführen, was diese Version zu einem Meilenstein in der Geschichte von Firefox und Wegweiser für die Zukunft des Mozilla-Browsers machen wird. Teil dieses besonderen Releases wird Photon sein, das neue visuelle Erscheinungsbild von Firefox.

Lese-Tipp: Themen-Spezial zu Photon

Nicht nur die primäre Browser-Oberfläche wird mit Firefox 57 eine optische Überarbeitung erhalten. Auch die Einstellungsoberfläche von Firefox wird sich in einem neuen Glanz präsentieren.

Wie immer gilt, dass es sich dabei um Mockups handelt und sich das tatsächliche Erscheinungsbild in der finalen Version von Firefox 57 von dem unterscheiden kann, was hier gezeigt wird.

Aufmerksame Leser dieses Blogs wissen bereits, dass Mozilla, basierend auf dem Feedback von Nutzern, an einer Umstrukturierung der Firefox-Einstellungen arbeitet und diese außerdem um eine Suchfunktion erweitert. Eine erste Überarbeitung war bereits in der Nightly-Version von Firefox 55 gelandet und wurde dann auf Firefox 56 verschoben, während eine zweite Umstrukturierungs-Runde in Arbeit ist.

Während einige Einstellungen dadurch an anderer Stelle zu finden sein werden, wird sich optisch alleine durch die Umstrukturierung nicht viel tun. Neue Mockups zeigen nun die geplante Optik der Einstellungsoberfläche für Firefox 57.

Was neben der neuen Anordnung von Einstellungen und natürlich dem neuen Aussehen auffällt, sind gegenüber der aktuellen Einstellungsoberfläche auch zusätzliche Funktionen. So gibt es, wie bereits erwähnt, in Zukunft eine Suchfunktion für Einstellungen, die Update-Funktion wurde, zusätzlich zum Info-Dialog, auch in die Einstellungen integriert, außerdem findet sich in den neuen Einstellungen eine neue Verwaltung für Webseiten-Berechtigungen, welche als teilweiser Ersatz für die ehemalige Oberfläche about:permissions dienen kann. Ebenfalls neu: Performance-Einstellungen (ab Firefox 55) sowie eine Option, um die Entwickler-Werkzeuge zu aktivieren. Zur Erinnerung: ab Firefox 56 wird Firefox standardmäßig ohne aktivierte Entwickler-Werkzeuge ausgeliefert, diese können mit einem Knopfdruck aktiviert werden.

Der Beitrag Photon: so sieht die neue Einstellungsoberfläche ab Firefox 57 aus erschien zuerst auf soeren-hentzschel.at.

Die FlatPress Blog Engine, bietet leider keinerlei Statistik über Klickzahlen usw.
Deswegen habe ich mir eine Skriptlösung geschrieben, die mir jetzt zeigt, wie viele Klicks ein Beitrag erzeugt (Über die Laufzeit der Logs).

Das Skript

Das Skript liegt auf meinem Webspace (bei Uberspace.de) als ~/bin/clicks.sh vor, die Logs unter ~/log/ und die FlatPress-Installation unter ~/html/blog/.

#!/bin/bash
set -e
cd

date

awk '
/ "(HEAD|GET) \/blog\/\?x=entry:entry[0-9-]+ .+" 200 / {
	entrys[$7]++
	counter++
}
/ "(HEAD|GET) \/blog\/fp-content\/attachs\/.+ .+" 200 / {
        attachs[$7]++
	counter++
}
END {
        for(i in entrys) {
                file="html/blog/fp-content/content/*/*/" substr(i, 16) ".txt"

                subject="N/A"
                "cut -d \\| -f 4 " file " 2>/dev/null" | getline subject

                printf "%5d %5.3g%% %s %s\n",
                        entrys[i],
                        100 / counter * entrys[i],
                        i,
                        subject
        }

        for(i in attachs) {
                printf "%5d %5.3g%% %s\n",
                        attachs[i],
                        100 / counter * attachs[i],
                        i
        }

        printf "%5d insgesamt\n", counter
}
' <(cat logs/access_log; zcat logs/access_log.*.gz) | sort -n

Als Beispielausgabe, hier mal die Top Ten der häufigsten Klicks aktuell (absolute Klicks und prozentual):

$ clicks.sh | tail -n 11
   31 0.455% /blog/?x=entry:entry170609-233049 Payday 2 kostenlos bei Steam
   46 0.675% /blog/?x=entry:entry160205-145935 Anonymous; Netzwerkverkehr eines Benutzers über das Tor-Netzwerk routen, zur Anonymisierung von Verbindungsdaten
   52 0.763% /blog/?x=entry:entry170511-162559 LOVOO bekommt eine "Kuppelfunktion"; Ich habe den Prototypen getestet
   53 0.777% /blog/?x=entry:entry150905-111426 Automatischer Login: nodm (an automatic display manager)
   65 0.953% /blog/?x=entry:entry160508-093015 CyanogenMod auf dem Samsung Galaxy S4 mini GT-I9195 (serranoltexx) installieren
  177   2.6% /blog/?x=entry:entry170629-155523 FlatPress: Klick-Statistik erzeugen
  777  11.4% /blog/?x=entry:entry170422-211028 Debian 9 (Stretch): Oracle VM VirtualBox installieren
 1249  18.3% /blog/?x=entry:entry170626-172443 Smartphones mit Unterstützung von LineageOS und TWRP
 1494  21.9% /blog/?x=entry:entry170608-122844 Perl: Dateien von I2P Eepsites und/oder Tor hidden services downloaden
 2342  34.4% /blog/?x=entry:entry170526-135407 openresolv
 6817 insgesamt

Das Skript kann man bestimmt noch verbessern und schöner schreiben.
Gerade die regulären Ausdrücke, welche die Klicks aus dem Log filtern, matchen vielleicht nicht hundertprozentig, was die Statistik dann verfälscht.
Hier mal Ausnahmen, die das Beispiel oben nicht abdeckt (So gefunden im Log):

• /blog/?x=entry%3Aentry170626-172443 (URL Decode/Encode)
• //blog/?x=entry:entry150805-091827

Ein weiterer fehleranfälliger Punkt ist, den Subject anhand des URL auszulesen. Das betrifft vor allem gelöschte Beiträge, die aber noch im Index der Suchmaschinen vorhanden sind.

PS: Eine tagesaktuelle Statistik über den Blog, gibt es jetzt unter https://0010100.net/tmp/clicks.txt.

Wer nicht gerade BackBox Linux einsetzt oder andere Distributionen mit integriertem OpenVAS, der muss eine Installation eventuell von Hand vornehmen.
Darum habe ich die alte Installationsanleitung aktualisiert (siehe unten) und auf die neue Version 9 angepasst. Zusätzlich sind weitere Installationsmöglichkeiten hinzugekommen.

Die augenscheinlichste Neuerung von OpenVAS 9 ist die neue Oberfläche, an der fast 2 Jahre entwickelt wurde. (Changelog)
Als Basissystem dient Ubuntu 16.04 LTS

Installation OpenVAS 9 via Source

Abhängigkeiten installieren

sudo apt-get install -y build-essential devscripts dpatch curl libassuan-dev libglib2.0-dev libgpgme11-dev libpcre3-dev libpth-dev libwrap0-dev libgmp-dev libgmp3-dev libgpgme11-dev libpcre3-dev libpth-dev quilt cmake pkg-config libssh-dev libglib2.0-dev libpcap-dev libgpgme11-dev uuid-dev bison libksba-dev doxygen libsql-translator-perl xmltoman sqlite3 libsqlite3-dev wamerican redis-server libhiredis-dev libsnmp-dev libmicrohttpd-dev libxml2-dev libxslt1-dev xsltproc libssh2-1-dev libldap2-dev autoconf nmap libgnutls28-dev gnutls-bin libpopt-dev heimdal-dev heimdal-multidev libpopt-dev texlive-full rpm alien nsis rsync python2.7 python-setuptools checkinstall

OpenVAS 9 Pakete herunterladen und entpacken

wget http://wald.intevation.org/frs/download.php/2420/openvas-libraries-9.0.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2423/openvas-scanner-5.1.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2426/openvas-manager-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2429/greenbone-security-assistant-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2397/openvas-cli-1.4.5.tar.gz
wget http://wald.intevation.org/frs/download.php/2377/openvas-smb-1.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2401/ospd-1.2.0.tar.gz
wget http://wald.intevation.org/frs/download.php/2405/ospd-debsecan-1.2b1.tar.gz

sudo tar zxvf openvas-*
sudo tar zxvf greenbone*
sudo tar zxvf ospd*

Redis Server konfigurieren

cp /etc/redis/redis.conf /etc/redis/redis.orig
sudo sh -c 'echo "unixsocket /tmp/redis.sock" >> /etc/redis/redis.conf'

OpenVAS Libraries installieren

cd openvas-libraries-9.0.1
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

OpenVAS Manager installieren

cd openvas-manager-7.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

OpenVAS Scanner installieren

cd openvas-scanner-5.1.1
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

OpenVAS CLI und SMB installieren

cd openvas-cli-1.4.5
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

cd openvas-smb-1.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

Greenbone Security Assistant (GSA) Oberfläche installieren

cd greenbone-security-assistant-7.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

Solltet ihr den default Port 4000 der GSA Oberfläche anpassen wollen, ist dies unter (/etc/default/openvas-gsa) möglich.

Ob ihr die Zusatzpakete via Open Scanner Protocol installiert, bleibt euch überlassen. Nun folgen die Schritte der Erstkonfiguration.

Zertifikate einrichten

Anstatt openvas-mkcert kommt bei OpenVAS 9 ein neuer Befehl zum Einsatz. Mit dem Schalter -a werden alle benötigten Zertifikate installiert.

sudo openvas-manage-certs -a

OpenVAS Benutzer anlegen

openvasmd --create-user=admin --role=Admin
openvasmd --user=admin --new-password=NewPW

Update der NVT und Cert Datenbank

Die alten Befehle haben sich hier ebenfalls geändert.

greenbone-nvt-sync
greenbone-scapdata-sync
greenbone-certdata-sync

Troubleshooting

OpenVAS neu aufbauen

openvasmd --rebuild --progress

OpenVAS Installation prüfen

wget https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup --no-check-certificate
sudo chmod +x openvas-check-setup
sudo ./openvas-check-setup --v9

System starten

sudo /usr/local/sbin/gsad start
sudo /usr/local/sbin/openvassd
sudo /usr/local/sbin/openvasmd

OpenVAS 9 via Script installieren

Auf Github befindet sich ein Script, welches viele der oben erwähnten Aufgaben für OpenVAS 8 und 9 automatisiert.

sudo wget https://raw.githubusercontent.com/leonov-av/openvas-commander/master/openvas_commander.sh
sudo chmod +x openvas_commander.sh

Folgende Befehle bescheren euch eine vollständige Installation ohne viel Handarbeit

./openvas_commander.sh  --install-dependencies

./openvas_commander.sh  --show-releases
OpenVAS-8
OpenVAS-9

./openvas_commander.sh --download-sources "OpenVAS-9" 
./openvas_commander.sh --create-folders
./openvas_commander.sh --install-all
./openvas_commander.sh --configure-all
./openvas_commander.sh --update-content
./openvas_commander.sh --rebuild-content
./openvas_commander.sh --start-all

OpenVAS 9 via PPA installieren

Falls doch lieber ein Repository zur Installation verwendet werden soll, bietet sich das PPA von mrazavi an.

sudo add-apt-repository ppa:mrazavi/openvas
sudo apt-get update
sudo apt-get install openvas9

Mit einer erfolgreichen Installation des Open Vulnerability Assessment Systems sollte einem ersten Schwachstellen-Management eigentlich Nichts mehr im Weg stehen.

Folgende Links könnten dich auch interessieren

Update Security Distributionen – Kali Linux mit OpenVAS 9 und Parrot Security 3.6

Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

ssh_scan – Sicherheits- und Konfigurationsscanner für SSH Einstellungen

Bild von geralt via pixabay / Lizenz: CC0 Public Domain

In KMail klaffte seit Jahren eine schwere Lücke. Wie Pro-Linux heute berichtete führte die Lücke mit der katalogisierten Bezeichnung CVE-2017-9604 zu einer unbeabsichtigten unverschlüsselten Übertragung. Mit "Send later" markierte Nachrichten übersandte KMail unverschlüsselt, dem Anwender suggerierte es jedoch, diese würden mittels OpenPGP verschlüsselt. Aufgrund der sensiblen Platzierung im Verschlüsselungs-Kontext ein heftiger Fauxpas - aber so etwas kann passieren. Software ist nie fehlerfrei!

Nun ist KMail 4 bereits abgekündigt und die Lücke bisher nur in der aktuellen KMail 5-Version, enthalten in den Applications 17.04.2, geschlossen. Viele stabile Distributionen liefern KMail jedoch in veralteten Versionen, bis zurück zu der Version aus KDE SC 4.11 und älter aus. Diese Sicherheitslücke ist daher für viele dünn besetzten Communityprojekte mit riesigen Versprechungen ein Belastungstest. Besteht eine Distribution ihn mittelfristig nicht, kann man sie eigentlich aus dem Kanon streichen.

Die Lücke ist vor allem deshalb interessant, weil sie nicht den Linux-Kern oder zentrale Bibliotheken betrifft, aber gleichwohl gravierende Auswirkungen für die Anwender hat. Die Distributionen müssen nun beweisen, dass ihr Supportversprechen sich nicht nur auf den minimalen Betriebssystemkern erstreckt.

Unter Beobachtung stehen nur so genannte Enterprise bzw. LTS Distributionen. Rolling Release-Distributionen erhalten den Patch automatisch mit der aktuellen KDE Applications-Version und Distributionen mit kurzen Supportzeiträumen dürften derart veraltete KMail Versionen nicht mehr einsetzen.

Aktueller Stand 27.06.16:

Die Meldung liegt nur wenige Tage zurück, der Stand sollte daher nicht überraschen.

• Debian: Nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
• Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
• Mageia: Behoben in 6, nicht behoben in 5 (Bug im Mageia Bugzilla)
• openSUSE: Patch in Vorbereitung (Bug im openSUSE Bugzilla)
• RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)

Update: Stand 02.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Lediglich openSUSE hat seine LTS-Variante gepatcht. Mageia hat zumindest für die aktuelle Version 6 den Fehler behoben und die Diskussion zur Lösung für die Version 5 in einen eigenen Bugreport ausgelagert.

• Debian: Nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
• Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
• Mageia: Behoben in 6 (Bug im Mageia Bugzilla), nicht behoben in 5 (Bug in Mageia Bugzilla)
• openSUSE: Behoben (Bug im openSUSE Bugzilla)
• RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)

Update: Stand 08.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Debian hat beschlossen, dass die Lücke nicht schwer genug ist um ein separates Sicherheitsupdate zu rechtfertigen (da fehlen einem die Worte) und bei den anderen Distributionen hat sich im Vergleich zur Vorwoche nichts getan.

• Debian: Wird nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
• Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
• Mageia: Behoben in 6 (Bug im Mageia Bugzilla), nicht behoben in 5 (Bug in Mageia Bugzilla)
• openSUSE: Behoben (Bug im openSUSE Bugzilla)
• RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)

Der weitere Verlauf wird beobachtet und hier dokumentiert.

Insgesamt lassen sich aber bereits einige Schlussfolgerungen ziehen. Fehler in den Desktopoberflächen haben keine große Priorität für die Projekte, selbst wenn sie in kritischen Bereichen wie der Verschlüsselungsinfrastruktur sind. Ausgenommen ist hier openSUSE das einmal mehr unter Beweis stellt, dass es ein besonderes Augenmerk auf KDE hat. Die Fehlerbehebung seitens des KDE Projekts erfolgte am 02.06.17, seit Mitte Juni ist der Fehler in allen großen CVE-Datenbanken aber außer openSUSE und Mageia hat noch keine große Distribution eine Fehlerbehebung ausgerollt. Wenn man bedenkt, dass die Open Source Gemeinschaft immer den monatlichen Patchzyklus von Micrsoft bemängelt ist das keine Glanzleistung. Die Entscheidung von Debian zeigt zudem eine Ignoranz, die man sonst immer den Produzenten proprietärer Software vorwirft.

Im Vergleich zur vorigen Version, als systemd eingeführt wurde, zeichnet sich Debian 9 »Stretch« nicht durch spektakuläre technische Neuerungen aus. Geändert haben sich primär Versionsnummern. Dessen ungeachtet ist jede neue Debian-Version natürlich ein Meilenstein, schon alleine wegen des riesigen Aufwands, die Software für so viele verschiedene Plattformen zu testen.

Versionsnummern

Für das Software-Angebot in Debian 9 gelten die folgenden Versionsnummern:

Basis           Desktop             Programmierung   Server
--------------  ------------------  --------------   --------------
Kernel     4.9  Gnome        3.22   bash       4.4   Apache    2.4
glibc     2.24  KDE Plasma    5.8   gcc        6.3   CUPS      2.2
X-Server  1.19  Firefox        52   Java         8   MariaDB  10.1
GRUB      2.02  Gimp          2.8   PHP        7.0   OpenSSH   7.5
NetworkM.  1.6  LibreOffice   5.2   Python 2.7/3.5   qemu/KVM  2.8
Systemd    232  Thunderbird    45                    Postfix   3.2
                                                     Samba     4.5

KDE setzt sich aus den folgenden Versionen zusammen:

• Plasma 5.8
• KDE Frameworks 5.28
• KDE Applications 16.08 (PIM-Komponenten 16.04)

Neuerungen und Anmerkungen

Anstelle von MySQL kommt als Datenbank-Server nun standardmäßig MariaDB 10.1 zum Einsatz. Damit ist Ubuntu aktuell die letzte der »großen« Distributionen, die noch auf MySQL setzt.

Vor einem Update von Debian 8 auf Version 9 sollten Sie unbedingt ein komplettes Backup aller MySQL-Datenbanken mit mysqldump durchführen (Release Notes). MariaDB und MySQL waren zwar anfangs vollständig kompatibel zueinander, mittlerweile gilt dies aber nur noch mit Einschränkungen.

Firefox und Thunderbird haben nun wieder ihre »richtigen« Namen zurückerhalten. Der Namensstreit, der zur Umbenennung des Webbrowsers in Iceweasel und des Mail-Clients in Icedove führte, ist Geschichte.

Parallel zum bewährten Firewall-Werkzeug iptables ist nun standardmäßig auch das neuere nftables-Paket installiert. Debian richtet allerdings standardmäßig keine Firewall ein, die »klassischen« Firewall-Tools basieren noch alle auf iptables.

Laut den Release Notes wird UEFI besser denn je unterstützt. Die Unterstützung für UEFI Secure Boot ist aber leider abermals aus zeitlichen Gründen gescheitert. Vielleicht wird sie in einer Minor-Version nachgeholt.

Desktop-Systeme

Während der Installation von der DVD fragt Debian, welches Desktop-System Sie einsetzen möchten (wenn Sie überhaupt eines brauchen). Die Auswahl ist beachtlich:

Plattformen (Architekturen)

Debian 9 steht für die folgenden Plattformen zur Verfügung:

• Standard-PCs: i386 und amd64
• ARM: arm, armhf, arm64
• MIPS: mips, mipsel, mips64el
• PowerPC: ppc64el
• S390X: s390x

Weitere Details zur Hardware-Unterstützung können Sie hier nachlesen:

• Unterstützte Architekturen
• Ports (Achtung, die Status-Links verweisen teilweise auf alte Debian-Versionen!)

Probleme mit radeon-Treiber

Bei einem meiner Tests auf einem PC mit einer AMD-Grafikkarte lief das Grafiksystem nach der Installation nur in der mageren Auflösung von 800×600 Pixel. Die Systemeinstellungen von Gnome meinte nur: Monitor nicht erkannt und bot auf meinem 4k-Monitor keine höhere Auflösung an. Abhilfe schuf die Installation der Firmware-Dateien:

apt-get install firmware-linux-nonfree

Die Installation setzt voraus, dass in /etc/apt/sources.list die non-free-Paketquellen aktiv sind. Die Datei muss so ähnlich wie das folgende Beispiel aussehen:

# Datei /etc/apt/sources.list
deb     http://debian.inode.at/debian/ stretch main non-free contrib
deb-src http://debian.inode.at/debian/ stretch main non-free contrib

deb     http://security.debian.org/debian-security stretch/updates main contrib non-free
deb-src http://security.debian.org/debian-security stretch/updates main contrib non-free

# stretch-updates, previously known as 'volatile'
deb     http://debian.inode.at/debian/ stretch-updates main contrib non-free
deb-src http://debian.inode.at/debian/ stretch-updates main contrib non-free

Update von Version 8 auf Version 9

Ich habe Debian 9 nur als Neuinstallation getestet — getreu meiner Devise, dass Distributions-Updates in der Regel mehr Schaden anrichten als nutzen. Wenn Sie vorhaben, Ihr Debian-8-System per Update auf Debian 9 umzustellen, sollten Sie vorher die folgenden Seiten lesen:

• Upgrade-Infos in den Debian-Release-Notes für AMD64
• Upgrade-Erfahrungen im heise.de-Test

Downloads

• Offizielle Downloads:
  https://www.debian.org/CD/http-ftp

• Downloads inkl. Firmware-Dateien (empfehlenswert!):
  https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.0.0+nonfree/amd64/iso-dvd

Links/Tests

• Release Notes (amd64)
• Offizielle Installationsanleitung (amd64)
• Test bei heise.de
• Test bei golem.de
• Test beim Linux Magazin
• distrowatch

Heute ist, nach fast genau drei Jahren, mein Smartphone kaputt gegangen (Verschleiß) und nun brauche ich ein neues.

Dazu habe ich mal die gelisteten unterstützten Geräte bei LineageOS und TWRP verglichen (Verglichen wurden die Codenamen) und nachgesehen, welche Geräte von beiden Projekten unterstützt werden.
Herausgekommen ist diese Liste (Mit 111 Codenamen; Stand Juni 2017).

Wenn ihr euch nach dieser Liste richtet und ein Gerät ausgesucht habt, prüft in einem letzten Schritt bitte noch einmal, ob das Gerät dann auch wirklich auf beiden Listen geführt wird! Siehe: https://wiki.lineageos.org/devices/ und https://twrp.me/Devices/.

• (angler) google nexus 6p
• (angler) huawei nexus 6p
• (armani) xiaomi redmi 1s
• (athene) motorola moto g 2016/moto g plus 2016
• (athene) motorola moto g4/g4 plus
• (bacon) oneplus one
• (bullhead) google nexus 5x
• (bullhead) lg nexus 5x
• (cancro) xiaomi mi 3
• (cancro) xiaomi mi 3w and mi 4
• (capricorn) xiaomi mi 5s
• (chagallwifi) samsung galaxy tab s 10.5 (wi-fi)
• (cherry) huawei honor 4/4x
• (cherry) huawei honor 4x
• (clark) motorola moto x 2015 pure
• (clark) motorola moto x pure (2015)
• (condor) motorola moto e
• (crackling) wileyfox swift
• (d2att) samsung galaxy s3 at&t
• (d2att) samsung galaxy s iii (at&t)
• (d2spr) samsung galaxy s3 sprint
• (d2spr) samsung galaxy s iii (sprint)
• (d2tmo) samsung galaxy s3 t-mobile
• (d2tmo) samsung galaxy s iii (tmo)
• (d2vzw) samsung galaxy s3 verizon
• (d2vzw) samsung galaxy s iii (vzw)
• (d850) lg g3 (at&t)
• (d851) lg g3 t-mobile
• (d851) lg g3 (tmo)
• (d852) lg g3 canada bell rogers
• (d852) lg g3 (canada)
• (d855) lg g3 europe
• (d855) lg g3 (unlocked)
• (deb) asus nexus 7 2013 lte
• (deb) google nexus 7 2013 (4g)
• (dragon) google pixel c
• (espresso3g) samsung galaxy tab 2 7.0 / 10.1 (gsm)
• (espresso3g) samsung galaxy tab 2 (gsm - unified)
• (espressowifi) samsung galaxy tab 2 7.0 / 10.1 (wi-fi)
• (espressowifi) samsung galaxy tab 2 (wi-fi - unified)
• (ether) nextbit robin
• (f400) lg g3 (korea)
• (falcon) motorola moto g 2013
• (falcon) motorola moto g
• (find7) oppo find 7a
• (find7) oppo find 7
• (flo) asus nexus 7 2013 wi-fi
• (flo) google nexus 7 2013 (wi-fi)
• (flounder) google nexus 9 (wi-fi)
• (flounder) htc nexus 9
• (gemini) xiaomi mi 5
• (ghost) motorola moto x 2013
• (griffin) motorola moto z 2016
• (griffin) motorola moto z
• (gts210vewifi) samsung galaxy tab s2 9.7 2016 (wi-fi)
• (gts210vewifi) samsung galaxy tab s2 9.7 wifi (2016)
• (gts28vewifi) samsung galaxy tab s2 8.0 2016 (wi-fi)
• (gts28vewifi) samsung galaxy tab s2 8.0 wifi (2016)
• (h811) lg g4
• (h811) lg g4 (tmo)
• (h815) lg g4 (h811, h815)
• (h815) lg g4
• (h815) lg g4 (intl)
• (h830) lg g5 t-mobile
• (h830) lg g5 (tmo)
• (h850) lg g5 international
• (h850) lg g5 (intl)
• (ha3g) samsung galaxy note 3 (international 3g)
• (ha3g) samsung galaxy note 3 international exynos
• (hammerhead) google nexus 5
• (hammerhead) lg nexus 5
• (ham) zuk z1
• (ham) zuk zuk z1
• (harpia) motorola moto g4 play
• (harpia) motorola moto g play 2016
• (hayabusa) sony xperia tx
• (hero2lte) samsung galaxy s7 edge (exynos)
• (hero2lte) samsung galaxy s7 edge
• (herolte) samsung galaxy s7 (exynos)
• (herolte) samsung galaxy s7
• (hlte) samsung galaxy note 3 qualcomm
• (hlte) samsung galaxy note 3 (unified)
• (huashan) sony xperia sp
• (hydrogen) xiaomi mi max
• (i9100) samsung galaxy s2 i9100
• (i9100) samsung galaxy s ii (intl)
• (i9300) samsung galaxy s3 international exynos
• (i9300) samsung galaxy s iii (intl)
• (i9305) samsung galaxy s3 international lte
• (i9305) samsung galaxy s iii (gsm lte)
• (ido) xiaomi redmi 3
• (ido) xiaomi redmi 3/prime
• (jalebi) yu yunique
• (jfltevzw) samsung galaxy s4 verizon
• (jfltevzw) samsung galaxy s4 (vzw)
• (jfltexx) samsung galaxy s4 international qualcomm
• (jfltexx) samsung galaxy s4 (intl)
• (kccat6) samsung galaxy s5 plus
• (kenzo) xiaomi redmi note 3
• (kiwi) huawei honor 5x
• (klimtwifi) samsung galaxy tab s 8.4 (wi-fi)
• (klte) samsung galaxy s5
• (klte) samsung galaxy s5 qualcomm
• (ks01lte) samsung galaxy s4 lte advanced i9506
• (ks01lte) samsung galaxy s4 lte-a
• (lentislte) samsung galaxy s5 lte-a
• (libra) xiaomi mi 4c
• (lithium) xiaomi mi mix
• (ls990) lg g3 (sprint)
• (m7) htc one (gsm)
• (m7) htc one m7 gsm
• (m8) htc one 2014
• (m8) htc one m8 all variants
• (maguro) google galaxy nexus (gsm)
• (maguro) samsung galaxy nexus (gsm)
• (mako) google nexus 4
• (mako) lg nexus 4
• (manta) google nexus 10
• (manta) samsung nexus 10
• (mint) sony xperia t
• (n3) oppo n3
• (n5100) samsung galaxy note 8.0
• (n5100) samsung galaxy note 8 (gsm)
• (natrium) xiaomi mi 5s plus
• (nicki) sony xperia m
• (oneplus2) oneplus 2
• (oneplus2) oneplus two
• (oneplus3) oneplus 3 / 3t
• (oneplus3) oneplus 3
• (onyx) oneplus x
• (osprey) motorola moto g (2015)
• (peregrine) motorola moto g 2013 lte
• (peregrine) motorola moto g 4g
• (piccolo) bq aquaris m5
• (pme) htc 10
• (r5) oppo r5
• (r5) oppo r5/r5s (intl)
• (roth) nvidia shield portable
• (s2) leeco le 2
• (seed) android one second generation qualcomm
• (seed) google android one 2nd gen
• (shamu) google nexus 6
• (shamu) motorola nexus 6
• (shieldtablet) nvidia shield tablet
• (surnia) motorola moto e lte (2015)
• (surnia) motorola moto e lte
• (t0ltektt) samsung galaxy note 2 lte korea
• (t0ltektt) samsung galaxy note ii (korea)
• (t0lte) samsung galaxy note 2 n7105
• (t0lte) samsung galaxy note ii (gsm lte)
• (t0lteskt) samsung galaxy note 2 lte sk telecom
• (t0lteskt) samsung galaxy note ii (sk telecom)
• (tenshi) bq aquaris u plus
• (tenshi) bq aquaris u plus (tenshi)
• (thea) motorola moto g 2014 lte
• (thea) motorola moto g 4g 2014
• (titan) motorola moto g 2014
• (tomato) yu yureka
• (toro) google galaxy nexus (vzw)
• (toroplus) google galaxy nexus (sprint)
• (toroplus) samsung galaxy nexus (sprint)
• (toro) samsung galaxy nexus (verizon)
• (tsubasa) sony xperia v
• (v500) lg g pad 8.3
• (v500) lg g pad 8.3 (v500, v510, awifi, palman)
• (vegetalte) bq aquaris e5 4g
• (victara) motorola moto x 2014
• (vs985) lg g3 verizon
• (vs985) lg g3 (vzw)
• (wt88047) wingtech redmi 2
• (x2) leeco le max 2
• (z008) asus zenfone 2 (720p)
• (z00a) asus zenfone 2 (1080p)
• (z00l) asus zenfone 2 laser (720p)
• (z00t) asus zenfone 2 laser 1080p
• (z00t) asus zenfone 2 laser/selfie (1080p)
• (zl1) leeco le pro 3

Heute habe ich mal ein kleines (größeres?) Experiment gewagt und meinen Root-Server von Ubuntu 16.04 auf Debian 9 aktualisiert. Und siehe da:

Experiment geglückt, das Upgrade lief nach ein wenig Handarbeit vollkommen problemlos:

1. Ich musste vor dem Upgrade meine Installation von MySQL auf MariaDB umstellen, da Debian 9 nur noch MariaDB anbietet. Das war ein wenig Konsolenarbeit mit Hilfe von „mysqldump“ und der MySQL-Konsole angesagt. Da ich eh schon seit Ewigkeiten auf MariaDB wechseln wollte, war das grundsätzlich keine zusätzliche Arbeit.
2. Ich musste händisch das Paket „debian-archive-keyring“ von Debian 9 installieren, damit das Paketmanagement mich überhaupt Debian-Pakete installieren lies.
3. Während des Upgrade-Vorgangs gab es einen Fehler wegen eines Konflikts zwischen zwei verschiedenen Paketen (Unter Ubuntu liegt eine Datei in einem anderen Paket als unter Debian). Ein „apt install -f“ hat das aber sofort behoben. Ansonsten gab es keine Unterbrechungen außer dem üblichen Nachfragen wegen geänderter Konfigurationsdateien.
4. Dovecot hat keine Unterstützung für SSLv2 mehr. Ich musste also die Konfigurationsdatei von Dovecot entsprechend anpassen.
5. Es gab etwa ein Dutzend Pakete (z.B. „libfontconfig1“ ), welche eine höhere Versionsnummer unter Ubuntu 16.04 haben als unter Debian 9. Diese musste ich händisch downgraden.
6. Ich musste ein paar Dateien bezüglich „motd“ und „issue“ entfernen, damit sich mein System auch als Debian 9 zu erkennen gibt (Im Grunde nur Kosmetik)

Wie schon geschrieben, das Experiment ist geglückt und auf meinem Root-Server läuft jetzt Debian 9.

Warum das ganze? Ich wollte es einfach mal ausprobieren ob sowas überhaupt möglich ist. Wenn es schief gegangen wäre, hätte ich einfach ein Backup eingespielt und ich hätte nur etwas Freizeit vergeudet.

Mozilla hat eine erste Unterstützung für den offenen und lizenzgebühren-freien Video-Codec AV1 in die Nightly-Version von Firefox integriert. Bis zu einer flächendeckenden Verfügbarkeit wird es allerdings noch ein bisschen dauern.

Der Kern von Audio- und Video-Dateien sind sogenannte Codecs. Unterschiedliche Codecs besitzen unterschiedliche qualitative Eigenschaften. Viele verschiedene Medienformate und -Codecs und dazu eine nicht einheitliche Browser-Unterstützung machen das ganze Thema der Medienwiedergabe zu einem komplizierten Thema. Dazu sind einige qualitativ hochwertige Codecs wie H.264 für die Video-Wiedergabe nicht lizenzgebühren-frei, wieso Open Source-Browser wie Firefox dabei auf die Unterstützung durch das jeweilige Betriebssystem angewiesen sind, um entsprechend kodierte Videos überhaupt abspielen zu können.

Die neue Hoffnung im Bereich der Video-Wiedergabe hört auf den Namen AOMedia Video 1, oder kurz: AV1. Entwickelt wird dieser Codec von der Alliance for Open Media (AOMedia). Gründer dieser Allianz sind neben Mozilla auch noch Google, Microsoft, Intel, ARM, NVidia, IBM, Cisco, Amazon und Netflix. Seit dem haben sich zahlreiche weitere Unterstützer angeschlossen, darunter Namen wie AMD, VideoLAN, Vidyo, CCN, Realtek und noch weitere.

Eine der wichtigsten Eigenschaften von AV1 ist sicher die Tatsache, dass es sich dabei um einen Open Source Codec handelt, der frei von jeglichen Lizenzgebühr-Ansprüchen ist. Dies, gemeinsam mit der breiten Unterstützung der Industrie (Browserhersteller, Chipsatz-Hersteller sowie Streaming-Dienstleister), bildet eine gute Voraussetzung dafür, dass sich AV1 als qualitativ bessere Alternative zu heutigen Codecs durchsetzen kann.

Die Gründungsmitglieder Google, Mozilla und Cisco haben bereits lange vor der Gründung der Allianz an Video-Codecs gearbeitet und so bilden deren Entwicklungen die Grundlage für AV1. Google hatte zunächst am VP9-Nachfolger VP10 gearbeitet, der zu Gunsten von AV1 zurückgestellt worden ist. Neben Technologie von VP10 fließen in AV1 ebenfalls Technologie von Daala ein, dem Codec, den Mozilla gemeinsam mit der Xiph Foundation entwickelt, sowie von Ciscos Thor-Codec. Ebenfalls fließen in AV1 Elemente aus Opus ein, einem von Mozilla, der Xiph Foundation und Skype entwickelten Audio-Codec.

AV1 ist noch nicht fertig und eine flächendeckende Unterstützung damit noch lange nicht gegeben. Was Firefox betrifft, ist allerdings ein wichtiger Meilenstein erreicht: die Nightly-Version von Firefox wird nun mit einem ersten AV1-Decoder ausgeliefert – zunächst allerdings nur für Nutzer von Apple macOS sowie Linux. Nutzer von Windows und Android müssen sich noch ein wenig länger gedulden. Wann mit einer Unterstützung über Nightly-Versionen hinaus gerechnet werden kann, ist derzeit noch nicht bekannt.

Der Beitrag Firefox-Nightly: erste Unterstützung für neuen Video-Codec AV1 erschien zuerst auf soeren-hentzschel.at.

Ich habe Akiee Version 0.0.4 veröffentlicht. Dieses Release verbessert die User-Experience in einigen Details.

So wurden die Ansichten für den Source-Code der Markdown-Datei und für die Gesamtübersicht (Board-View) in das Menü verlegt, weil ich sie selbst kaum benutzt habe und sie aus meiner Sicht nicht so oft benutzt werden sollten.

Wiederholende Aufgaben werden nun wieder auf TODO gesetzt, wenn sie abgeschloßen wurden. Beendete Aufgaben bekommen ein Erledigungsdatum, damit man nachschauen kann, wann eine Aufgabe beendet wurde. Dies gilt auch für sich wiederholende Aufgaben, sie bekommen als Erledigungsdatum das Datum der letzten Erledigung.

In der DONE-Ansicht werden nun alle erledigten Aufgaben in chronologischer Folge angezeigt, da man so besser nachschauen kann, was man in letzter Zeit erledigt hat.

Um den Backlog besser zu ordnen, kann man nun einzelne Aufgaben an das Ende oder den Anfang verschieben.

Wer seine Aufgaben über Cloud-Storage-Dienste wie Dropbox, OwnCloud oder Syncthing abgleichen möchte, kann dies nun tun. Man wählt einfach ein synchronisiertes Verzeichnis als Ort zum Speichern der Aufgaben an.

Zusätzlich habe ich Akiee deutlich schneller gemacht. Zum einen läuft Akiee nun auf Electron und zum anderen wurde die Darstellung überarbeitet, damit sie schneller angezeigt wird. Dank Electron gibt es jetzt Downloads für jegliche erdenkliche Plattform und in jedem erdenklichen Paketformat.

Die User Storys für Akiee 0.0.3

• Port from Node-Webkit to Electron.
• As a (kanban) user I want to have the DONE state ordered by time in reverse, that I can see what I finished last.
• When I am ordering my backlog, I want to put Tasks from the end of the backlog to the top.
• Dropbox support.
• Refactoring – Speedup
• Move to electron for better toolkit and faster user interface.
• Test Section aus dem Reagent Cookbook durcharbeiten und auf Akiee anwenden – Make Akiee ready for mobile.
• Try to speed up akiee with cursors.
• When I „done“ a repeating task, I want that it is put to TODO again, but I want to see it in the DONE view.
• Move Code-View and Board View to Menu, because it is almost never used.

Geplante Features

• Mobile App to View task and add new ones.
• Zim integration.
• Markdown mode for zim.
• When I enter a new task, I want to able to add more information to it without leaving my current view.
• When I am scanning through a list in Akiee, I want to be able to use arrow-, page-, end- and pos1 keys.
• When I am using Akiee a lot, I want to be able to donate somthing to the author, that I can help with / influence the development of Akiee.
• When I am ordering my tasks, I want to be able to move them by drag&drap, because it is much faster, than using the arrow-buttons.
• When I have larger tasks/stories (like writing a test article), I want to be able to divide it in sub-tasks.

Downloads

• Linux AppImage 64 bit
• Linux AppImage 32 bit
• Ubuntu 64 bit
• Ubuntu 32 bit
• Mac OS X
• Windows 64
• Windows 32

Releases für weitere Platformen findet ihr im Release-Repo auf GitHub.

The post Akiee 0.0.4 appeared first on Rockiger.

Ich habe Akiee Version 0.0.4 veröffentlicht. Dieses Release verbessert die User-Experience in einigen Details.

So wurden die Ansichten für den Source-Code der Markdown-Datei und für die Gesamtübersicht (Board-View) in das Menü verlegt, weil ich sie selbst kaum benutzt habe und sie aus meiner Sicht nicht so oft benutzt werden sollten.

Wiederholende Aufgaben werden nun wieder auf TODO gesetzt, wenn sie abgeschloßen wurden. Beendete Aufgaben bekommen ein Erledigungsdatum, damit man nachschauen kann, wann eine Aufgabe beendet wurde. Dies gilt auch für sich wiederholende Aufgaben, sie bekommen als Erledigungsdatum das Datum der letzten Erledigung.

In der DONE-Ansicht werden nun alle erledigten Aufgaben in chronologischer Folge angezeigt, da man so besser nachschauen kann, was man in letzter Zeit erledigt hat.

Um den Backlog besser zu ordnen, kann man nun einzelne Aufgaben an das Ende oder den Anfang verschieben.

Wer seine Aufgaben über Cloud-Storage-Dienste wie Dropbox, OwnCloud oder Syncthing abgleichen möchte, kann dies nun tun. Man wählt einfach ein synchronisiertes Verzeichnis als Ort zum Speichern der Aufgaben an.

Zusätzlich habe ich Akiee deutlich schneller gemacht. Zum einen läuft Akiee nun auf Electron und zum anderen wurde die Darstellung überarbeitet, damit sie schneller angezeigt wird. Dank Electron gibt es jetzt Downloads für jegliche erdenkliche Plattform und in jedem erdenklichen Paketformat.

Die User Storys für Akiee 0.0.3

• Port from Node-Webkit to Electron.
• As a (kanban) user I want to have the DONE state ordered by time in reverse, that I can see what I finished last.
• When I am ordering my backlog, I want to put Tasks from the end of the backlog to the top.
• Dropbox support.
• Refactoring – Speedup
• Move to electron for better toolkit and faster user interface.
• Test Section aus dem Reagent Cookbook durcharbeiten und auf Akiee anwenden – Make Akiee ready for mobile.
• Try to speed up akiee with cursors.
• When I „done“ a repeating task, I want that it is put to TODO again, but I want to see it in the DONE view.
• Move Code-View and Board View to Menu, because it is almost never used.

Geplante Features

• Mobile App to View task and add new ones.
• Zim integration.
• Markdown mode for zim.
• When I enter a new task, I want to able to add more information to it without leaving my current view.
• When I am scanning through a list in Akiee, I want to be able to use arrow-, page-, end- and pos1 keys.
• When I am using Akiee a lot, I want to be able to donate somthing to the author, that I can help with / influence the development of Akiee.
• When I am ordering my tasks, I want to be able to move them by drag&drap, because it is much faster, than using the arrow-buttons.
• When I have larger tasks/stories (like writing a test article), I want to be able to divide it in sub-tasks.

Downloads

• Linux AppImage 64 bit
• Linux AppImage 32 bit
• Ubuntu 64 bit
• Ubuntu 32 bit
• Mac OS X
• Windows 64
• Windows 32

Releases für weitere Platformen findet ihr im Release-Repo auf GitHub.

The post Akiee 0.0.4 appeared first on Rockiger.

Mit SSH Audit hatte ich bereits vor einiger Zeit ein Tool im Programm, welches SSH auf Einstellungen und Konfiguration testet (Artikel).

Mozilla hat mit ssh_scan ein ähnliches Tool im Portfolio. Das Tool bezieht sich auf die eigenen SSH Guidelines und prüft hinterlegte Ciphers, MACs, und Kex Algorithmen.

Laut eigener Aussage zählt zu den Vorteilen des Tools die einfache Installation ohne allzu viele Abhängigkeiten. Das Programm ist portabel, lässt sich mit eigenen Regeln konfigurieren und wirft am Ende einen Report im JSON Format aus.

Zunächst muss ssh_scan aber erst einmal den Weg auf die Festplatte finden.

Installation unter Ubuntu 16.04 LTS

Für die Installation steht neben einem ssh_scan gem Paket auch ein Docker Container zur Verfügung.

sudo apt-get install ruby gem
sudo gem install ssh_scan

oder via Docker

docker pull mozilla/ssh_scan
docker run -it mozilla/ssh_scan /app/bin/ssh_scan -t example.com

oder froM Source

git clone https://github.com/mozilla/ssh_scan.git
cd ssh_scan

gem install bundler
bundle install

./bin/ssh_scan

SSH Scan im Einsatz

Die SSH-Prüf-Anwendung ist denkbar einfach zu bedienen, es lassen sich einzelne Host scannen, ganze Ranges oder weitere Parameter angeben.

Eine IP scannen

ssh_scan -t ip-addresse

Mehrere IPs scannen

ssh_scan -t ip-addresse1,ip-addresse2,ip-addresse3

Adressen aus einer Datei scannen

ssh_scan -f ip-addressen.txt

IP Adressen mit bestimmten Port scannen

ssh_scan -t ip-addresse -p 666

Eigene Policy verwenden

ssh_scan -P intermediate -t ip-addresse

In den Standardeinstellungen wird die Mozilla Modern Policy als Prüfvorlage verwendet. Es lässt sich aber mit der oben erwähnten Option P auch auf Intermediate oder andere Richtlinien prüfen.

Hier als Beispiel die Intermediate Richtlinie:

cat intermediate

# Host keys the client accepts - order here is honored by OpenSSH
HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256

Alle SSH_scan Befehle lassen sich über die Hilfe einsehen

ssh_scan -h

Fazit

Mozilla bietet mit ssh_scan eine praktische Methode um SSH Einstellungen zu prüfen und zu härten. Dank eigener Policies und vieler weiterer Optionen, wie Reports würde ich das Tool vorziehen, alleine weil das eingangs erwähnte SSH-Audit seit 2016 nicht mehr aktualisiert wurde.

Allerdings empfinde ich die Masse an Paketen, welche mit ruby gem auf dem System landen nicht unerheblich, da ist ein einfaches Python Script schon handlicher. 
Zusätzlich setzt ssh_scan wohl weiterhin auf NIST Kurven wie ecdh-sha2-nistp521,ecdh-sha2-nistp384 und ecdh-sha2-nistp256 welchen ich eher kritisch gegenüber stehe.

Schlussendlich sollte bei solchen Tests immer das Ergebnis genau hinterfragt werden. Das Prüfen von SSH Konfigurationen vereinfachen beide Programme dennoch merklich.

Als ich heute meinen Mailserver (Debian) geupdatet habe, hatte ich das Problem, dass dovecot nicht richtig funktionieren wollte. Das Problem war, das ich in der mail.log im diesen Fehler stehen hatte:

Jun 20 18:54:10 mail dovecot: imap-login: Fatal: Invalid ssl_protocols setting: Unknown protocol 'SSLv2'

Nach eingen Suchen habe ich herausgefunden, das OpenSSL den Support für SSLv2 völlig entfernt hat. Leider befand sich noch in meiner Config eine Einstellung, die immer das Problem aufgerufen hat. Daher musste ich einfach nur in der /etc/dovecot/dovecot.conf folgende Zeile ändern:

ssl_protocols = !TLSv1.1 !TLSv1 !SSLv3 !SSLv2

in

ssl_protocols = !TLSv1.1 !TLSv1 !SSLv3

Nach einem Neustart von dovecot:

service dovecot restart

hat alles wieder wie gewohnt funktioniert.

Bild: johnyksslr via Pixabay / Lizenz: CC0

Datenschutzexperten empfehlen gerne Android als sicheres Mobilbetriebssystem. Dahinter steht eine grundlegende Affinität zu Open Source-Software und die Tatsache, dass Android bzw. das AOSP (Android Open Source Project) das einzige ernst zu nehmende quelloffene Betriebssystem in diesem Bereich ist. Dabei ist Android hinsichtlich der Sicherheit und des Datenschutzes keine gute Wahl – auch dutzende Tutorien zu der vermeintlichen Absicherung von Android ändern das nicht.

Googleabhängigkeit

Android wird offiziell durch die Open Handset Alliance entwickelt und der Quellcode im Rahmen des AOSP veröffentlicht. Dies verschleiert ein wenig den dominanten Einfluss von Google auf das Projekt – ist aber nur Fassade. Ohne Google gibt es keine Fortschritte bei Android, Google entscheidet in welche Richtung sich das Projekt entwickelt und Google bestimmt den Zeitpunkt der Quellcodefreigabe. Die Community baut darum ein paar kleinere Projekte auf, aber hat auf den Kern keinen Einfluss. Transparenz sieht anders aus!

Google verdient sein Geld immer noch mit Werbung¹ und wertet dazu massiv Nutzerdaten aus. Die meisten Google-Dienste sollen vor allem das Wissen über die Anwender vergrößern um ihnen noch passgenauere Angebote machen zu können. Android-Smartphones setzen dem quasi die Krone auf, weil sie mit zahlreichen Sensoren ausgestattet sind und vom Anwender permanent mit sich geführt werden.

Android, wie man es auf Smartphones vorfindet, ist zudem durchsetzt mit proprietären Apps – auch bei Herstellern die vermeintlich nahe am „nackten“ Android bleiben. Eine ganze Reihe der obligatorisch vorinstallierten Google Apps sind schließlich ebenfalls proprietär.

Besonders problematisch ist jedoch der Play Store und die Play Services von Google, die sich wie ein trojanisches Pferd in das System einnisten und Aktualisierungen am eigentlichen System vorbei vornehmen können. Der Anwender büßt hier massiv an Kontrolle über das von ihm verwende Smartphone-Betriebssystem ein.²

Updateproblematik

Das Thema Updates ist nicht neu, hat aber trotz vollmundiger Versprechungen bisher nichts von seiner Brisanz verloren. Android ist wie jedes andere Betriebssystem nicht perfekt. Bedingt durch seine dominante Stellung im Markt müssen die Entwickler mit dutzenden Sicherheitsproblemen jeden Monat kämpfen. Google gibt deshalb einen monatlichen Sicherheitsbulletin heraus.

Das Problem ist nur: Die Sicherheitsaktualisierungen erreichen den Anwender kaum. Die breite Masse der Anwender nutzt hoffnungslos veraltete Versionen mit zahlreichen bekannten Sicherheitslücken. Die Hersteller haben kaum ein Interesse daran Smartphones zu pflegen, die bereits aus dem Verkauf raus sind. Die meisten Smartphones erhalten nicht mal die 2 Jahre Updates, die ein durchschnittlicher Vertragskunde in Deutschlands sein Smartphone nutzt.³

Custom Roms

Experten preisen deshalb gerne Custom Roms als Lösung aller Probleme an. Diese würden schließlich transparent von der Community entwickelt und lange mit Updates für zahllose Geräte versorgt werden. Proprietäre Bestandteile sind in Roms wie LineageOS auch bereits eliminiert – abgesehen von Treibern und Firmware. Soweit richtig!

Wenn der Anwender aber Apps nutzen möchte bleibt ihm fast nur der Play Store. Natürlich gibt es F-Droid und Open Source Apps aber man muss schon OSS-Enthusiast sein um mit dem Angebot zufrieden zu sein. Ein Android mit F-Droid hat den Funktionsumfang eines besseren Featurephones.

Die meisten Nutzer von Custom Rom installieren daher auch das GApps-Paket, das selbst in seiner Minimalvariante natürlich Play Store und Play Services mit sich bringt. Hier schließt sich dann der Kreis zum trojanischen Pferd und der Googlebindung.

Zusammengefasst

Android ist unsicher, vor allem wenn man es nutzt wie es auf den meisten Smartphones ausgeliefert wird. Voll von proprietärer Apps, Google Diensten und mit Sicherheitslücken in allen Bereichen.

Custom Roms bieten nur eine scheinbare Lösung. Sie vermitteln dem versierten Anwender ein Gefühl von Kontrolle, das aber – sobald die GApps auf dem System sind – zu einer Illusion von Kontrolle mutiert.

Den Königsweg gibt es in dem Bereich jedoch nicht. Sailfish OS & Konsorten sind Nischensysteme mit fraglicher Zukunft. Ubuntu hat gerade das Handtuch geschmissen. Windows Mobile und iOS sind geschlossene Systeme – wenngleich vermutlich im Sicherheitsbereich deutlich besser aufgestellt als Android.

Mobile bleibt ein ganz prekärer Bereich. Die problematischsten Geräte mit dem höchsten Trackingspotenzial sind ausgestattet mit den undurchsichtigen und unsicheren Betriebssystemen.

1: Siehe Bericht von 2016: boerse.ARD - Alphabet: Die Werbung macht's

2: Mobilsicher - Google Services - die geheime Kommandozentrale

3: netzpolitik.org - Android: Hälfte aller Geräte erhielt 2016 kein einziges Sicherheitsupdate

Das bisher von mir eingesetzte Wiki (PmWiki 1.3) ist leider
nicht wirklich für mobile Geräte angepasst. Daher habe ich mich
entschieden eine neue Version (jetzt 2.x) von PmWiki zu installieren
so das man nun auch auf mobilen Geräten das Wiki vernünftig anschauen
kann.

Der Schwerpunkt, vor allem Ubuntu, aber auch Debian wird weiter bleiben.
Ich hoffe sehr das es für den einen oder anderen hilfreich ist.

Das Wiki findet sich hier:

http://www.nitschke-marl.de/pmwiki2/pmwiki.php

Diskussionen bitte hier: http://gnude.feste-ip.net/dev/index.php?topic=113.0

Still und heimlich ist am Samstag, den 17. Juni 2017 nach über 2 Jahren eine neue Version der Linux-Distribution Debian erschien. Version 9 führt mit dem Codenamen „Stretch“ die Reihe an Toy Story-Charakteren fort. Debian 9 wird dem Gründer des Projekts, Ian Murdock, gewidmet, welcher am 28. Dezember 2015 verstorben ist.

Statt großen Neuerungen wurde wie üblich an kleinen Stellen nachgebessert. Auffallendste Änderung für Administratoren wird die Umstellung von MySQL auf MariaDB sein. Weitere Änderungen sind:

• die Umbenennung von Iceweasel und Icedove zurück zu Firefox und Thunderbird, nachdem ein jahrelanger Streit zwischen dem Debian-Projekt und Mozilla beigelegt wurde,
• verbesserte Unterstützung für UEFI,
• neuere Versionen von GnuPG (modern-Zweig),
• ermöglichter Betrieb vom X-Display-System ohne root-Rechte,
• verbesserte Sicherheit und Integrität von Paketen (Reproducible-Builds-Projekt deckt ca. 90% ab).

Des weiteren sind viele Pakete wieder auf einem aktuelleren Stand. Als Kernel kommt Version 4.9.30 zum Einsatz.

Ein Upgrade ist auf Debian 9 sollte UNBEDINGT durch ein vorheriges vollständiges Backup abgesichert werden. Es kann immer etwas schief gehen. Zum Upgraden erst wie üblich alles Bisherige updaten über

sudo apt update
sudo apt upgrade
sudo apt dist-upgrade

dann in der

/etc/apt/sources.list

Quelle: Debian News (20170617)